49 ответов в этой теме

[SergSG]

 

Не нужна тут централизация.

 

 

Он потом может только просмотреть и откорректировать какую то машину, если нужно.

Вы сами себе противоречите.

 

Здесь нет противоречия - не нужно централизованно для всех изобретать схему блокировки и создавать список исключений.

С сервера админ осуществляет только контроль и индивидуальную подстройку для избранных.

 

Это совсем другая идеология - зафиксировать в белом списке то, что активно, все остальное уже не запустится. Нажал кнопку и >90% компов уже под защитой.

А сейчас вы предлагаете квест для админа - сначала придумай что тебе нужно заблокировать, потом угадай как это сделать теми средствами, которые предлагает Доктор, а потом поморочь голову с белыми списками. Еще и угадать нужно какой шино-класс что реально блокирует и что же именно разрешают классы из белого списка.

 

Появление этого сабжа говорит о том, что реально девайсами мало кто пользуется, иначе проблемой с невозможностью в 1 клик заблокировать внешние накопители всех мастей уже давно бы саппорт задолбали. Ведь блокировка накопителей это самое востребованное из всех девайсов.

[SergSG]

Кстати, добавим белый список классов устройств. Чтоб можно было просто запретить usb-шину и разрешить при этом те же принтеры, все.

На первый взгляд выглядит спасительно. Только кроме принтеров туда нужно будет добавить мыши, клавы, com, HID, WiFi...

А не получится еще большая каша, чем есть сейчас - в одном месте классы блокируем, в другом ставим в исключения? 

[Afalin]

Здесь нет противоречия - не нужно централизованно для всех изобретать схему блокировки и создавать список исключений.

С сервера админ осуществляет только контроль и индивидуальную подстройку для избранных.

Если с сервера можно индивидуально подстроить что-то для избранных, то это и есть централизованное управление для всех. Менее централизованным оно не станет оттого, что этим воспользуются в 1‰ случаев.

Появление этого сабжа говорит о том, что реально девайсами мало кто пользуется, иначе проблемой с невозможностью в 1 клик заблокировать внешние накопители всех мастей уже давно бы саппорт задолбали. Ведь блокировка накопителей это самое востребованное из всех девайсов.

В саппорте вопросы про блокировку носителей задаются много чаще, чем тут. Но вообще это лучше бы решилось двумя строками в FAQ.

Только кроме принтеров туда нужно будет добавить мыши, клавы, com, HID, WiFi...

Там будут всё те же классы, что и в блокировках, ни больше, ни меньше.

А не получится еще большая каша, чем есть сейчас - в одном месте классы блокируем, в другом ставим в исключения?

Нет. Блокируем шину USB, а разрешаем интересующие классы. И получаем как раз кейс из стартового поста.

[SergSG]

 

Здесь нет противоречия - не нужно централизованно для всех изобретать схему блокировки и создавать список исключений.

С сервера админ осуществляет только контроль и индивидуальную подстройку для избранных.

Если с сервера можно индивидуально подстроить что-то для избранных, то это и есть централизованное управление для всех. Менее централизованным оно не станет оттого, что этим воспользуются в 1‰ случаев.

Наверно это вопрос терминологии. Даже наличие одной кнопки "Зафиксировать оборудование" можно считать централизацией. Я имел ввиду, что админ уже не будет даже понятия иметь ни о шино-классах, ни о том странном наборе, который сейчас предлагается в белом списке. Он будет видеть только список реальных девайсов и управлять им.

 

То, что сделали возможность блокировки девайсов это хорошо, это круто. Но его исполнение в виде шино-классов и кучи исключений, да еще и с издевательским фейсом, делает его совершенно непригодным к использованию. Это полуфабрикат. Заготовка.

Никому нет никакой необходимости блокировать какие то там шино-классы, зато есть необходимость блокировать определённый функционал. Если по каким то причинам концепт "Фиксации оборудования" не нравится, значит должен быть кейс с предустановками, которые могут быть востребованы в реальной жизни. По сабжу - ни танцевать с бубном вокруг шино-классов и их исключений, а нажать чекбокс и заблокировать сразу внешние накопители всех видов. И какие там при этом шино-классы заблокируются, а какие классы запишутся в белый список ни админу, ни юзеру не интересно.

Сообщение было изменено SergSG: 12 Ноябрь 2020 - 18:53

[basid]

Великолепие вашей идеи ломает один простой факт: даже разрешённые устройства могут подключаться и отключаться. В частности, разрешённое устройство может отсутствовать в момент "Зафиксировать белый список".

Как следствие - админу всё равно обязательно придётся разбираться с шинами, классами и устройствами.

[Afalin]

Он будет видеть только список реальных девайсов и управлять им.

Скажите честно, Вы видели этот список реальных девайсов от одной станции? Пролистывали ли его до конца?

Ходить в него при такой фиксации придётся, чтобы выкинуть оттуда то, чего там быть не должно, и добавить то, чего не хватило.

 

Кейс с предустановками – ещё может быть, но лучше таки вменяемый FAQ, потому что без понимания происходящего это всё бесполезно, предустановки в том числе.

[Eugen Engelhardt]

Скорее было бы полезно в нужный момент времени получить список подключенных USB устройств на конкретной станции через ЦУ, дабы не делать это вручную, и напротив каждого из устройств проставить флажки на запретить или разрешить. Таким образом, блокировка или разрешение устройства для конкретной станции, приблизится к автоматизации

[Afalin]

Скорее было бы полезно в нужный момент времени получить список подключенных USB устройств на конкретной станции через ЦУ, дабы не делать это вручную, и напротив каждого из устройств проставить флажки на запретить или разрешить. Таким образом, блокировка или разрешение устройства для конкретной станции, приблизится к автоматизации

Плохо себе представляю, как это делать хотя бы на нескольких сотнях станций.

Это всё пока что может быть применимо только в стандалоне.

[Eugen Engelhardt]

Плохо себе представляю, как это делать хотя бы на нескольких сотнях станций.

Если не для всех станций сразу запрашивать список, а для конкретной станции в нужный момент времени.

[Afalin]

Плохо себе представляю, как это делать хотя бы на нескольких сотнях станций.

Если не для всех станций сразу запрашивать список, а для конкретной станции в нужный момент времени.

Поштучно все сотни/тысячи станций прокликивать? Я б на такое точно не подписался.

[Eugen Engelhardt]

Поштучно все сотни/тысячи станций прокликивать?

Нет, если рассматривать конкретно только ту станцию, что нужна в данный момент времени.

[Konstantin Yudin]

при нормальном раскладе, админ выдает разрешенные флешки сотрудникам, предварительно добавив их в доверенные, это делается в одном месте и ни каких проблем не составляет. когда админ шарится по локалке и выискивает какие флешки добавить, что то тут не так. по крайней мере когда делали опирались именно на этот кейс.

[Konstantin Yudin]

для остальных частных случаев в мыслях реализовать систему запросов/аппрувов. тогда так же не нужно шарится, все запросы будут в отдельном месте сгруппированы. на сколько это возможно в рамках нашей консоли

[SergSG]

 

Он будет видеть только список реальных девайсов и управлять им.

Скажите честно, Вы видели этот список реальных девайсов от одной станции? Пролистывали ли его до конца?
Ходить в него при такой фиксации придётся, чтобы выкинуть оттуда то, чего там быть не должно, и добавить то, чего не хватило.

 

Да, видел. Он очень странный, кривой и глючный. Но это фирменный стиль. Ничего смертельного в нем нет.
А если стать к пользователю передом, а к шино-классам, под которые он и заточен, задом, и выкинуть весь непотреб, то там вообще будет очень сухо и комфортно.
 
 Шино-класс1.png   27,55К   2 Скачано раз
 
 

Кейс с предустановками – ещё может быть, но лучше таки вменяемый FAQ, потому что без понимания происходящего это всё бесполезно, предустановки в том числе.

Юзабильная фича не нуждается в FAQ. Мне кажется, разработка просто зациклилась на шино-классах - ведь они дают возможность создать уйму комбинаций! Крутизна! Вопрос - а кому на практике это изобилие нужно? Может стоит посмотреть на реальные потребности админов и юзеров?

Если у админа стоит задача запретить любое изменение железа - ничего лучше "Фиксации активного оборудования" не придумать.

Если у админа стоит задача запретить только слив информации - ничего лучше кейса с предустановками ходового и востребованного не придумать.

Ходить по лабиринту шино-классов, да еще и вслепую, спасибо гуи, это полный отстой.

[SergSG]

Великолепие вашей идеи ломает один простой факт: даже разрешённые устройства могут подключаться и отключаться. В частности, разрешённое устройство может отсутствовать в момент "Зафиксировать белый список".

Как следствие - админу всё равно обязательно придётся разбираться с шинами, классами и устройствами.

Ну, если админ не догадается еще раз нажать кнопку на нужной станции, то пусть разбирается с шино-классами.

Думаю, FAQ, в котором будет описан маршрут лабиринта шино-классов для создания типовых запретов, когда нибудь появится. Во всяком случае, это проще, чем создать предустановки для этих же самых типовых запретов.

Сообщение было изменено SergSG: 13 Ноябрь 2020 - 19:35

[SergSG]

при нормальном раскладе, админ выдает разрешенные флешки сотрудникам, предварительно добавив их в доверенные, это делается в одном месте и ни каких проблем не составляет. когда админ шарится по локалке и выискивает какие флешки добавить, что то тут не так. по крайней мере когда делали опирались именно на этот кейс.

Есть один нюанс. Флешка или любой другой накопитель накопитель - это материальная собственность конторы. Она проходит всю систему от складов до материально ответственного, который ее получает в кладовой подразделения и отвечает за нее, а при увольнении сдает ее в эту же кладовую. Админ флешки не раздает. Так что, на практике придется или шариться по локалке, или звать всех флешечников к себе в гости.
 

Сообщение было изменено SergSG: 13 Ноябрь 2020 - 19:54

[Konstantin Yudin]

если в локалке действует запрет на сменные носители (а иначе к чему весь этот цирк), флешки должны пройти через админа.

[Afalin]

Если у админа стоит задача запретить любое изменение железа

А часто бывает именно такая задача? Есть большие сомнения.

Сообщение было изменено Afalin: 13 Ноябрь 2020 - 20:00

[Afalin]

 

 

Он будет видеть только список реальных девайсов и управлять им.

Скажите честно, Вы видели этот список реальных девайсов от одной станции? Пролистывали ли его до конца?
Ходить в него при такой фиксации придётся, чтобы выкинуть оттуда то, чего там быть не должно, и добавить то, чего не хватило.

 

Да, видел. Он очень странный, кривой и глючный. Но это фирменный стиль. Ничего смертельного в нем нет.
А если стать к пользователю передом, а к шино-классам, под которые он и заточен, задом, и выкинуть весь непотреб, то там вообще будет очень сухо и комфортно.
 
Шино-класс1.png

В ЦУ выглядит всё много более странно и криво, но суть не в этом. Станций – тысячи. На каждой – свой набор девайсов зачастую (ну хорошо, сотни таких наборов, бывают и одинаковые станции). Развлекаться с зоопарком в тысячи персональных конфигураций – вряд ли занятие интересное. Даже если эти конфигурации один раз соберутся автоматически, только вот никто не знает, что там соберётся, верифицировать это уже невозможно.

[SergSG]

 

Если у админа стоит задача запретить любое изменение железа

А часто бывает именно такая задача? Есть большие сомнения.

У меня тоже есть сомненя на этот счет, но так устроена нынешняя система шино-классов. Менять ее никто не будет, поэтому я и отталкивался от нее, а по другому в один клик не получится.

Мне кажется, более разумным было бы блокировать только девайсы, которые можно вставить в ПК и только если через через них может идти обмен информацией.